Kinsing Demystified - A Comprehensive Technical Guide
https://1665891.fs1.hubspotusercontent-na1.net/hubfs/1665891/Threat%20reports/AquaSecurity_Kinsing_Demystified_Technical_Guide.pdf
https://1665891.fs1.hubspotusercontent-na1.net/hubfs/1665891/Threat%20reports/AquaSecurity_Kinsing_Demystified_Technical_Guide.pdf
Analysing a NSO iOS Spyware Sample
https://i.blackhat.com/Asia-24/Asia-24-Frielingsdorf-YouShallNotPassAnalysing.pdf
https://i.blackhat.com/Asia-24/Asia-24-Frielingsdorf-YouShallNotPassAnalysing.pdf
#technique
Side-by-Side with HelloJackHunter: Unveiling the Mysteries of WinSxS
https://blog.zsec.uk/hellojackhunter-exploring-winsxs/
Side-by-Side with HelloJackHunter: Unveiling the Mysteries of WinSxS
https://blog.zsec.uk/hellojackhunter-exploring-winsxs/
ZephrSec - Adventures In Information Security
Side-by-Side with HelloJackHunter: Unveiling the Mysteries of WinSxS
This post explores Windows Side-by-Side (WinSxS) and DLL hijacking, deep-diving some tooling I've written and some of the fun along the way.
CTT Report Hub
Как лучше вытащить наружу движок поиска описания угроз
API, так API :) Запилю.
Спасибо, всем, кто поучаствовал в опросе.
Спасибо, всем, кто поучаствовал в опросе.
#ParsedReport #CompletenessMedium
13-05-2024
[Advanced Threat Tracking (APT)\] Beware of attacks from Timitator organization RUST
https://www.ctfiot.com/181035.html
Report completeness: Medium
Actors/Campaigns:
Timitator (motivation: cyber_criminal)
Duke
Oceanlotus
Threats:
Harpoon
Cobalt_strike
Vmprotect_tool
Victims:
Energy, Universities, Scientific research institutions, Military industry
Industry:
Energy, Military, Education
ChatGPT TTPs:
T1566, T1204, T1105, T1059, T1553, T1574, T1529, T1070, T1027, T1012, have more...
IOCs:
Hash: 13
IP: 7
File: 8
Soft:
trycloudflare, WeChat
Algorithms:
sha256, xor, md5
Win API:
loadlibrary
Languages:
golang, rust
13-05-2024
[Advanced Threat Tracking (APT)\] Beware of attacks from Timitator organization RUST
https://www.ctfiot.com/181035.html
Report completeness: Medium
Actors/Campaigns:
Timitator (motivation: cyber_criminal)
Duke
Oceanlotus
Threats:
Harpoon
Cobalt_strike
Vmprotect_tool
Victims:
Energy, Universities, Scientific research institutions, Military industry
Industry:
Energy, Military, Education
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1105, T1059, T1553, T1574, T1529, T1070, T1027, T1012, have more...
IOCs:
Hash: 13
IP: 7
File: 8
Soft:
trycloudflare, WeChat
Algorithms:
sha256, xor, md5
Win API:
loadlibrary
Languages:
golang, rust
CTF导航
【高级威胁追踪(APT)】警惕来自Timitator组织RUST特马的攻击 | CTF导航
概述Timitator(战术模仿者) 组织自2022年到2023年针对我国的能源、高校、科研机构及军工等行业进行攻击,主要采取鱼叉、nday等方式进行打点。其鱼叉攻击分别投递过exe、chm、iso(img)及lnk等格式的载荷,在...
CTT Report Hub
#ParsedReport #CompletenessMedium 13-05-2024 [Advanced Threat Tracking (APT)\] Beware of attacks from Timitator organization RUST https://www.ctfiot.com/181035.html Report completeness: Medium Actors/Campaigns: Timitator (motivation: cyber_criminal) Duke…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Организация Timitator планирует кибератаки на несколько секторов, используя такие тактики, как атаки с использованием гарпуна, эксплойты nday и другие методы. Они имитируют тактику атак других организаций, переключившись с CobaltStrike на инструмент дистанционного управления под названием RUST Tema. Их фишинговые образцы оснащены защитой от виртуальной оболочки VMP и используют методы обмана, которые выдаются за законное программное обеспечение. Все более широкое использование Timitator средств дистанционного управления и усовершенствованных тактик фишинга представляет собой серьезную угрозу в киберпространстве, что требует постоянной бдительности в отношении потенциальных целенаправленных атак.
-----
Организация Timitator планирует кибератаки на множество секторов, включая энергетику, университеты, научно-исследовательские институты и военную промышленность, в 2022-2023 годах. Они используют такие тактические приемы, как атаки гарпунами, эксплойты в режиме реального времени и другие методы проникновения в свои цели. Атаки harpoon от Timitator включают доставку вредоносной полезной нагрузки в таких форматах, как exe, chm, iso (img) и lnk. После успешного выполнения вредоносных вложений на первом этапе выполняется загрузка CobaltStrike для установления соединения, а на втором этапе загружается пользовательская специальная лошадь через CobaltStrike. Этот специальный инструмент позволяет им определять ценность скомпрометированных объектов в сети, разрабатывать индивидуальные последующие атаки и красть ценные данные и файлы.
Группа Timitator известна тем, что имитирует тактику атак других организаций, за что получила название Tactical Imitator (Тимитатор- имитатор ttps). Другие исследователи также называют их apt-q-77 и mutant rat, а некоторые связывают их деятельность с OceanLotus. Однако их истинная принадлежность остается сложной и неопределенной. Недавние выводы аналитической лаборатории Sangfor Deep View показали, что организация Timitator перешла от использования CobaltStrike к использованию для своих атак инструмента дистанционного управления, написанного на RUST, под названием RUST Tema. Кроме того, в их фишинговых образцах использовалась защита виртуальной оболочки VMP.
Дальнейший анализ показал, что после 28 марта 2024 года фишинговые образцы организации адаптировали новый подход, используя инструмент удаленного управления в RUST вместо CobaltStrike. Эти файлы были замаскированы поддельной подписью Microsoft и описательной информацией от местной компании, чтобы выглядеть как законные программы. После запуска эти образцы запускают несколько исполняемых файлов в каталоге %temp%, что приводит к загрузке вредоносных программ, таких как Log.dll и SogouInput.библиотека dll для выполнения шелл-кода и получения контроля над системой. Эти программы способны выполнять удаленные команды, операции с файлами и удаленное выполнение кода, при этом данные конфигурации расшифровываются с помощью ключа "p@sswor!kS@mk$y".
Использование Timitator различных средств дистанционного управления, таких как CobaltStrike, golang special horse и RUST special horse, свидетельствует о постоянном совершенствовании методов атаки, позволяющих избежать обнаружения и перехвата программным обеспечением безопасности. Используя специальные механизмы и совершенствуя тактику фишинга с помощью сложных сигнатур файлов, организация стремится повысить уровень успеха и сохранить оперативную секретность. Рекомендуется сохранять бдительность в отношении потенциальных целенаправленных атак со стороны группы Timitator, поскольку они по-прежнему представляют серьезную угрозу в киберпространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Организация Timitator планирует кибератаки на несколько секторов, используя такие тактики, как атаки с использованием гарпуна, эксплойты nday и другие методы. Они имитируют тактику атак других организаций, переключившись с CobaltStrike на инструмент дистанционного управления под названием RUST Tema. Их фишинговые образцы оснащены защитой от виртуальной оболочки VMP и используют методы обмана, которые выдаются за законное программное обеспечение. Все более широкое использование Timitator средств дистанционного управления и усовершенствованных тактик фишинга представляет собой серьезную угрозу в киберпространстве, что требует постоянной бдительности в отношении потенциальных целенаправленных атак.
-----
Организация Timitator планирует кибератаки на множество секторов, включая энергетику, университеты, научно-исследовательские институты и военную промышленность, в 2022-2023 годах. Они используют такие тактические приемы, как атаки гарпунами, эксплойты в режиме реального времени и другие методы проникновения в свои цели. Атаки harpoon от Timitator включают доставку вредоносной полезной нагрузки в таких форматах, как exe, chm, iso (img) и lnk. После успешного выполнения вредоносных вложений на первом этапе выполняется загрузка CobaltStrike для установления соединения, а на втором этапе загружается пользовательская специальная лошадь через CobaltStrike. Этот специальный инструмент позволяет им определять ценность скомпрометированных объектов в сети, разрабатывать индивидуальные последующие атаки и красть ценные данные и файлы.
Группа Timitator известна тем, что имитирует тактику атак других организаций, за что получила название Tactical Imitator (Тимитатор- имитатор ttps). Другие исследователи также называют их apt-q-77 и mutant rat, а некоторые связывают их деятельность с OceanLotus. Однако их истинная принадлежность остается сложной и неопределенной. Недавние выводы аналитической лаборатории Sangfor Deep View показали, что организация Timitator перешла от использования CobaltStrike к использованию для своих атак инструмента дистанционного управления, написанного на RUST, под названием RUST Tema. Кроме того, в их фишинговых образцах использовалась защита виртуальной оболочки VMP.
Дальнейший анализ показал, что после 28 марта 2024 года фишинговые образцы организации адаптировали новый подход, используя инструмент удаленного управления в RUST вместо CobaltStrike. Эти файлы были замаскированы поддельной подписью Microsoft и описательной информацией от местной компании, чтобы выглядеть как законные программы. После запуска эти образцы запускают несколько исполняемых файлов в каталоге %temp%, что приводит к загрузке вредоносных программ, таких как Log.dll и SogouInput.библиотека dll для выполнения шелл-кода и получения контроля над системой. Эти программы способны выполнять удаленные команды, операции с файлами и удаленное выполнение кода, при этом данные конфигурации расшифровываются с помощью ключа "p@sswor!kS@mk$y".
Использование Timitator различных средств дистанционного управления, таких как CobaltStrike, golang special horse и RUST special horse, свидетельствует о постоянном совершенствовании методов атаки, позволяющих избежать обнаружения и перехвата программным обеспечением безопасности. Используя специальные механизмы и совершенствуя тактику фишинга с помощью сложных сигнатур файлов, организация стремится повысить уровень успеха и сохранить оперативную секретность. Рекомендуется сохранять бдительность в отношении потенциальных целенаправленных атак со стороны группы Timitator, поскольку они по-прежнему представляют серьезную угрозу в киберпространстве.
#ParsedReport #CompletenessLow
13-05-2024
Emerging Identity Threats: The Muddy Waters of Residential Proxies
https://www.obsidiansecurity.com/blog/emerging-identity-threats-the-muddy-waters-of-residential-proxies
Report completeness: Low
Actors/Campaigns:
Muddywater
Threats:
Residential_proxy_technique
Industry:
Telco
ChatGPT TTPs:
T1566, T1090, T1078, T1110
IOCs:
File: 1
Soft:
Chrome
Platforms:
x64
13-05-2024
Emerging Identity Threats: The Muddy Waters of Residential Proxies
https://www.obsidiansecurity.com/blog/emerging-identity-threats-the-muddy-waters-of-residential-proxies
Report completeness: Low
Actors/Campaigns:
Muddywater
Threats:
Residential_proxy_technique
Industry:
Telco
ChatGPT TTPs:
do not use without manual checkT1566, T1090, T1078, T1110
IOCs:
File: 1
Soft:
Chrome
Platforms:
x64
Obsidiansecurity
Emerging Identity Threats: The Muddy Waters of Residential Proxies
Navigate emerging identity threats from residential proxies. Understand how attackers use legitimate infrastructure to evade detection.
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 Emerging Identity Threats: The Muddy Waters of Residential Proxies https://www.obsidiansecurity.com/blog/emerging-identity-threats-the-muddy-waters-of-residential-proxies Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущем использовании локальных прокси-серверов для фишинговых атак с использованием личных данных, когда злоумышленники используют локальные прокси-сети, чтобы избежать обнаружения, использовать уязвимости в системе безопасности и нацеливаться на конкретные приложения. В статье подчеркиваются трудности обнаружения этих атак, дается представление о тактике, используемой злоумышленниками, и рекомендуется применять более комплексный подход к обнаружению для борьбы с фишинговыми атаками, проводимыми с помощью локальных прокси-серверов.
-----
В сообщении в блоге рассказывается о растущем использовании локальных прокси-серверов при фишинговых атаках с использованием личных данных, освещаются конкретные тактики, применяемые злоумышленниками, и дается информация о стратегиях обнаружения. Злоумышленники все чаще используют локальные прокси-сети, используя IP-адреса крупных интернет-провайдеров, таких как Comcast, Cox, T-Mobile и Verizon, чтобы обойти меры безопасности и избежать обнаружения. Инцидент с участием Zscaler Inc. Интернет-провайдер предполагает потенциальную уязвимость в системе безопасности, связанную со скомпрометированными последовательностями входа через IP-адреса локального прокси-сервера.
Одной из серьезных проблем, с которыми сталкиваются злоумышленники, является использование устаревших пользовательских агентов Chrome 2019 года выпуска в сочетании с локальными прокси-серверами, что затрудняет обнаружение. Однако использование таких пользовательских агентов может служить ценным индикатором компрометации (IOCs). Кроме того, в ходе нескольких атак была выявлена закономерность в последовательности фишинговых входов в систему, при этом злоумышленники обычно использовали Chrome agent версий 78 и 105 в определенной последовательности.
Злоумышленники также используют интеграцию OAuth, уделяя особое внимание таким приложениям, как "eM Client" и "PERFECTDATA SOFTWARE", которые часто ассоциируются с вредоносными действиями. В сообщении подчеркивается, что полагаться исключительно на обнаружение географических аномалий для определения активности злоумышленников может быть уже недостаточно, поскольку локальные прокси-серверы могут маскировать истинное местоположение злоумышленников.
Читателям рекомендуется проверить свои среды на наличие определенных IOCs, указанных в статье, таких как упомянутый пользовательский агент и целевые приложения. В блоге предлагается использовать стратегию сортировки на основе идентификации, группируя телеметрию оповещений от продуктов безопасности по отдельным пользователям для расширения возможностей обнаружения. Такие инструменты, как Obsidian, могут помочь восполнить пробелы в обнаружении на случай, если фишинговая атака останется незамеченной.
Чтобы справиться с растущим использованием вредоносных локальных прокси-серверов, в статье рекомендуется адаптировать методы обнаружения и реагирования на инциденты. В статье содержится предостережение от игнорирования подозрительных действий, исходящих из мест, которые традиционно ассоциируются с безобидным поведением, поскольку злоумышленники теперь используют такие места. Вместо этого рекомендуется использовать более комплексный подход к обнаружению, выходящий за рамки географических аномалий, для эффективной борьбы с фишинговыми атаками, проводимыми с помощью локальных прокси-серверов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущем использовании локальных прокси-серверов для фишинговых атак с использованием личных данных, когда злоумышленники используют локальные прокси-сети, чтобы избежать обнаружения, использовать уязвимости в системе безопасности и нацеливаться на конкретные приложения. В статье подчеркиваются трудности обнаружения этих атак, дается представление о тактике, используемой злоумышленниками, и рекомендуется применять более комплексный подход к обнаружению для борьбы с фишинговыми атаками, проводимыми с помощью локальных прокси-серверов.
-----
В сообщении в блоге рассказывается о растущем использовании локальных прокси-серверов при фишинговых атаках с использованием личных данных, освещаются конкретные тактики, применяемые злоумышленниками, и дается информация о стратегиях обнаружения. Злоумышленники все чаще используют локальные прокси-сети, используя IP-адреса крупных интернет-провайдеров, таких как Comcast, Cox, T-Mobile и Verizon, чтобы обойти меры безопасности и избежать обнаружения. Инцидент с участием Zscaler Inc. Интернет-провайдер предполагает потенциальную уязвимость в системе безопасности, связанную со скомпрометированными последовательностями входа через IP-адреса локального прокси-сервера.
Одной из серьезных проблем, с которыми сталкиваются злоумышленники, является использование устаревших пользовательских агентов Chrome 2019 года выпуска в сочетании с локальными прокси-серверами, что затрудняет обнаружение. Однако использование таких пользовательских агентов может служить ценным индикатором компрометации (IOCs). Кроме того, в ходе нескольких атак была выявлена закономерность в последовательности фишинговых входов в систему, при этом злоумышленники обычно использовали Chrome agent версий 78 и 105 в определенной последовательности.
Злоумышленники также используют интеграцию OAuth, уделяя особое внимание таким приложениям, как "eM Client" и "PERFECTDATA SOFTWARE", которые часто ассоциируются с вредоносными действиями. В сообщении подчеркивается, что полагаться исключительно на обнаружение географических аномалий для определения активности злоумышленников может быть уже недостаточно, поскольку локальные прокси-серверы могут маскировать истинное местоположение злоумышленников.
Читателям рекомендуется проверить свои среды на наличие определенных IOCs, указанных в статье, таких как упомянутый пользовательский агент и целевые приложения. В блоге предлагается использовать стратегию сортировки на основе идентификации, группируя телеметрию оповещений от продуктов безопасности по отдельным пользователям для расширения возможностей обнаружения. Такие инструменты, как Obsidian, могут помочь восполнить пробелы в обнаружении на случай, если фишинговая атака останется незамеченной.
Чтобы справиться с растущим использованием вредоносных локальных прокси-серверов, в статье рекомендуется адаптировать методы обнаружения и реагирования на инциденты. В статье содержится предостережение от игнорирования подозрительных действий, исходящих из мест, которые традиционно ассоциируются с безобидным поведением, поскольку злоумышленники теперь используют такие места. Вместо этого рекомендуется использовать более комплексный подход к обнаружению, выходящий за рамки географических аномалий, для эффективной борьбы с фишинговыми атаками, проводимыми с помощью локальных прокси-серверов.
#ParsedReport #CompletenessLow
13-05-2024
Darkness is coming: a new group of MorLock ransomware has increased the intensity of attacks on Russian businesses
https://www.facct.ru/blog/morlock-ransomware
Report completeness: Low
Actors/Campaigns:
Morlock (motivation: financially_motivated)
Threats:
Lockbit
Babuk
Sliver_c2_tool
Pingcastle_tool
Facefish
Godzilla_webshell
Anydesk_tool
Putty_tool
Nssm_tool
Victims:
Russian companies
Geo:
Ukraine, Russia, Russian
ChatGPT TTPs:
T1486, T1133, T1566, T1069, T1078, T1059, T1489, T1021, T1105
Soft:
Zimbra, SoftPerfect Network Scanner, PsExec, ESXi
Languages:
powershell
Links:
13-05-2024
Darkness is coming: a new group of MorLock ransomware has increased the intensity of attacks on Russian businesses
https://www.facct.ru/blog/morlock-ransomware
Report completeness: Low
Actors/Campaigns:
Morlock (motivation: financially_motivated)
Threats:
Lockbit
Babuk
Sliver_c2_tool
Pingcastle_tool
Facefish
Godzilla_webshell
Anydesk_tool
Putty_tool
Nssm_tool
Victims:
Russian companies
Geo:
Ukraine, Russia, Russian
ChatGPT TTPs:
do not use without manual checkT1486, T1133, T1566, T1069, T1078, T1059, T1489, T1021, T1105
Soft:
Zimbra, SoftPerfect Network Scanner, PsExec, ESXi
Languages:
powershell
Links:
https://github.com/facct-ransomware/Ransomware/blob/main/MorLockF6
Тьма наступает: новая группа вымогателей MorLock увеличила интенсивность атак на российский бизнес - F6
F6 сообщает об активизации новой преступной группы вымогателей MorLock.
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 Darkness is coming: a new group of MorLock ransomware has increased the intensity of attacks on Russian businesses https://www.facct.ru/blog/morlock-ransomware Report completeness: Low Actors/Campaigns: Morlock…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении и деятельности новой преступной группировки под названием MorLock ransomware, которая нацелилась на российские компании, используя сотрудничество с другими кибербандами, уникальные методы установления авторства, шифрование данных без эксфильтрации, использование специальных инструментов для атак и наличие индикаторов компрометации для обеспечения кибербезопасности профессионалы.
-----
В отчете F.A.C.C.T. сообщается о появлении новой преступной группы под названием MorLock ransomware, которая с начала 2024 года атаковала по меньшей мере 9 российских компаний. Эти атаки в основном затрагивают средний и крупный бизнес в России. Известно, что MorLock использует в своих операциях программы-вымогатели LockBit 3 (Black) и Babuk, что является частью более широкой тенденции, когда кибербандиты сотрудничают и делятся тактиками, методами и процедурами (TTP), а также инструментами. Несмотря на это сотрудничество, каждая группа придерживается уникального метода работы, который может быть использован для установления авторства.
MorLock действует скрытно, не позиционируя себя открыто, выдавая требования о выкупе через идентификатор сеансового мессенджера в качестве единственного способа связи с жертвами. На русскоязычном форуме произошел примечательный инцидент с участием MorLock XSS.is, когда администраторы форума заблокировали аккаунты, связанные с атаками на российские организации, выявив прямые ссылки на группу MorLock. Интересно, что значительное число заблокированных участников были из Украины.
Основной подход MorLock заключается в шифровании данных в ИТ-инфраструктуре жертвы без предварительной их фильтрации. Требуемые суммы выкупа могут достигать десятков или сотен миллионов рублей, что свидетельствует о существенном финансовом ущербе для жертв. Злоумышленники обычно используют уязвимости в общедоступных приложениях и доступе, полученном с закрытых торговых платформ, или скомпрометированные учетные данные партнеров, чтобы получить первоначальный доступ для своих атак.
Получив доступ, MorLock быстро переходит к шифрованию данных. Они используют такие инструменты, как Sliver для последующей эксплуатации, сетевой сканер SoftPerfect и PingCastle для сетевой разведки, часто используя команды PowerShell для сбора информации. Они используют популярное российское корпоративное антивирусное программное обеспечение, отключая его защиту с помощью административного доступа, тем самым облегчая распространение программ-вымогателей в сети жертвы. Кроме того, они используют такие инструменты, как PsExec, для содействия распространению программ-вымогателей и другого вредоносного программного обеспечения.
Примечательно, что злоумышленники загружают инструменты непосредственно на взломанные хосты с официальных веб-сайтов, используя веб-браузер жертвы. Полный список инструментов MorLock, включая программы-вымогатели, доступен для ознакомления. В заключении отчета упоминается о существовании списка MorLock-индикаторов компрометации в репозитории Github организации F.A.C.C.T., который предоставляет ценную информацию специалистам по кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении и деятельности новой преступной группировки под названием MorLock ransomware, которая нацелилась на российские компании, используя сотрудничество с другими кибербандами, уникальные методы установления авторства, шифрование данных без эксфильтрации, использование специальных инструментов для атак и наличие индикаторов компрометации для обеспечения кибербезопасности профессионалы.
-----
В отчете F.A.C.C.T. сообщается о появлении новой преступной группы под названием MorLock ransomware, которая с начала 2024 года атаковала по меньшей мере 9 российских компаний. Эти атаки в основном затрагивают средний и крупный бизнес в России. Известно, что MorLock использует в своих операциях программы-вымогатели LockBit 3 (Black) и Babuk, что является частью более широкой тенденции, когда кибербандиты сотрудничают и делятся тактиками, методами и процедурами (TTP), а также инструментами. Несмотря на это сотрудничество, каждая группа придерживается уникального метода работы, который может быть использован для установления авторства.
MorLock действует скрытно, не позиционируя себя открыто, выдавая требования о выкупе через идентификатор сеансового мессенджера в качестве единственного способа связи с жертвами. На русскоязычном форуме произошел примечательный инцидент с участием MorLock XSS.is, когда администраторы форума заблокировали аккаунты, связанные с атаками на российские организации, выявив прямые ссылки на группу MorLock. Интересно, что значительное число заблокированных участников были из Украины.
Основной подход MorLock заключается в шифровании данных в ИТ-инфраструктуре жертвы без предварительной их фильтрации. Требуемые суммы выкупа могут достигать десятков или сотен миллионов рублей, что свидетельствует о существенном финансовом ущербе для жертв. Злоумышленники обычно используют уязвимости в общедоступных приложениях и доступе, полученном с закрытых торговых платформ, или скомпрометированные учетные данные партнеров, чтобы получить первоначальный доступ для своих атак.
Получив доступ, MorLock быстро переходит к шифрованию данных. Они используют такие инструменты, как Sliver для последующей эксплуатации, сетевой сканер SoftPerfect и PingCastle для сетевой разведки, часто используя команды PowerShell для сбора информации. Они используют популярное российское корпоративное антивирусное программное обеспечение, отключая его защиту с помощью административного доступа, тем самым облегчая распространение программ-вымогателей в сети жертвы. Кроме того, они используют такие инструменты, как PsExec, для содействия распространению программ-вымогателей и другого вредоносного программного обеспечения.
Примечательно, что злоумышленники загружают инструменты непосредственно на взломанные хосты с официальных веб-сайтов, используя веб-браузер жертвы. Полный список инструментов MorLock, включая программы-вымогатели, доступен для ознакомления. В заключении отчета упоминается о существовании списка MorLock-индикаторов компрометации в репозитории Github организации F.A.C.C.T., который предоставляет ценную информацию специалистам по кибербезопасности.
#ParsedReport #CompletenessMedium
13-05-2024
Leveraging DNS Tunneling for Tracking and Scanning
https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns
Report completeness: Medium
Actors/Campaigns:
Darkhydrus
Oilrig
Cobalt_katana
Threats:
Dns_tunneling_technique
Cobalt_strike
Decoy_dog
Sunburst
Dns_amplification_technique
Phoenix_keylogger
Victims:
Educational institutions, Network infrastructure, Cloud environments
Industry:
Government, Education
Geo:
Apac, America, Emea, Japan
CVEs:
CVE-2012-1033 [Vulners]
CVSS V3.1: 5.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- isc bind (9.8.1, 9.1.1, 9.1.3, 9.7.0, 9.7.2)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1071.004, T1568.002, T1001.001, T1048
IOCs:
Domain: 104
IP: 6
Email: 1
Hash: 1
File: 2
Soft:
spamtracker
Algorithms:
md5
13-05-2024
Leveraging DNS Tunneling for Tracking and Scanning
https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns
Report completeness: Medium
Actors/Campaigns:
Darkhydrus
Oilrig
Cobalt_katana
Threats:
Dns_tunneling_technique
Cobalt_strike
Decoy_dog
Sunburst
Dns_amplification_technique
Phoenix_keylogger
Victims:
Educational institutions, Network infrastructure, Cloud environments
Industry:
Government, Education
Geo:
Apac, America, Emea, Japan
CVEs:
CVE-2012-1033 [Vulners]
CVSS V3.1: 5.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- isc bind (9.8.1, 9.1.1, 9.1.3, 9.7.0, 9.7.2)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1071.004, T1568.002, T1001.001, T1048
IOCs:
Domain: 104
IP: 6
Email: 1
Hash: 1
File: 2
Soft:
spamtracker
Algorithms:
md5
Unit 42
Leveraging DNS Tunneling for Tracking and Scanning
We provide a walkthrough of how attackers leverage DNS tunneling for tracking and scanning, an expansion of the way this technique is usually exploited.
CTT Report Hub
#ParsedReport #CompletenessMedium 13-05-2024 Leveraging DNS Tunneling for Tracking and Scanning https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns Report completeness: Medium Actors/Campaigns: Darkhydrus Oilrig Cobalt_katana Threats: D…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что туннелирование DNS вышло за рамки традиционного использования в целях C2 и VPN и теперь используется для сканирования, отслеживания и мониторинга действий злоумышленников. Благодаря своей скрытой природе туннелирование DNS позволяет злоумышленникам обходить сетевые брандмауэры и меры безопасности, создавая риски для организаций. В тексте также рассматриваются конкретные примеры, такие как "TrkCdn" и "SpamTracker", иллюстрирующие, как злоумышленники используют туннелирование DNS для отслеживания взаимодействия жертв с содержимым электронной почты и доставки спама. В нем подчеркивается важность повышения осведомленности и принятия упреждающих мер кибербезопасности, включая решения, предлагаемые Palo Alto Networks, для снижения рисков, связанных с развитием технологий туннелирования DNS.
-----
Туннелирование DNS вышло за рамки традиционных приложений для управления (C2) и виртуальной частной сети (VPN) и теперь распространяется на сканирование и отслеживание действий. Злоумышленники используют туннелирование DNS в качестве скрытого канала связи для обхода сетевых брандмауэров, что позволяет им осуществлять фильтрацию трафика C2 и данных, оставаясь незамеченными традиционными мерами безопасности.
Недавно были выявлены кампании, использующие туннелирование DNS для целей сканирования и отслеживания. При сканировании злоумышленники используют туннелирование DNS для изучения сетевой инфраструктуры жертвы, собирая информацию для будущих атак. При отслеживании используются методы туннелирования DNS для отслеживания доставки вредоносных электронных писем и отслеживания использования сетей доставки контента (CDN).
В одном из тематических исследований под названием "TrkCdn" показано, как злоумышленники используют туннелирование DNS для отслеживания взаимодействия жертв с содержимым электронной почты. Кампания была нацелена на 731 потенциальную жертву, использующую различные IP-адреса и домены для вредоносных действий. Преступники использовали уникальную стратегию использования поддоменов для кодирования данных жертв в DNS-запросах, что позволяло им эффективно отслеживать действия жертв.
Другая кампания, получившая название "SpamTracker", была направлена на отслеживание рассылки спама, используя тактику, аналогичную кампании TrkCdn. Злоумышленники использовали ссылки на электронную почту и веб-сайты для распространения спама и фишингового контента, предназначенного для образовательных учреждений.
Кроме того, было замечено, что злоумышленники используют туннелирование DNS для сканирования сети с целью выявления уязвимостей в целевых сетях. Подменяя IP-адреса и используя DNS-запросы, злоумышленники могут обнаруживать открытые распознаватели, что потенциально может привести к DNS-атакам, таким как отравление кэша или усиление.
Palo Alto Networks предлагает решения для снижения рисков, связанных с методами туннелирования DNS. Например, клиенты могут получить доступ к функциям обнаружения туннелирования DNS, встроенным в брандмауэр нового поколения Palo Alto Networks и инструменты Cortex XDR Analytics Engine. Расширенная фильтрация URL-адресов и услуги подписки на DNS Security обеспечивают защиту от выявленных вредоносных индикаторов, упомянутых в статье.
Предоставляя аналитическую информацию об угрозах членам Альянса по борьбе с киберугрозами (CTA), Palo Alto Networks стремится повысить уровень защиты от кибератак и пресекать вредоносные действия в киберпространстве. Осведомленность специалистов в области безопасности об этих новых вариантах использования туннелирования DNS имеет решающее значение для эффективной защиты своих сетей от возникающих угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что туннелирование DNS вышло за рамки традиционного использования в целях C2 и VPN и теперь используется для сканирования, отслеживания и мониторинга действий злоумышленников. Благодаря своей скрытой природе туннелирование DNS позволяет злоумышленникам обходить сетевые брандмауэры и меры безопасности, создавая риски для организаций. В тексте также рассматриваются конкретные примеры, такие как "TrkCdn" и "SpamTracker", иллюстрирующие, как злоумышленники используют туннелирование DNS для отслеживания взаимодействия жертв с содержимым электронной почты и доставки спама. В нем подчеркивается важность повышения осведомленности и принятия упреждающих мер кибербезопасности, включая решения, предлагаемые Palo Alto Networks, для снижения рисков, связанных с развитием технологий туннелирования DNS.
-----
Туннелирование DNS вышло за рамки традиционных приложений для управления (C2) и виртуальной частной сети (VPN) и теперь распространяется на сканирование и отслеживание действий. Злоумышленники используют туннелирование DNS в качестве скрытого канала связи для обхода сетевых брандмауэров, что позволяет им осуществлять фильтрацию трафика C2 и данных, оставаясь незамеченными традиционными мерами безопасности.
Недавно были выявлены кампании, использующие туннелирование DNS для целей сканирования и отслеживания. При сканировании злоумышленники используют туннелирование DNS для изучения сетевой инфраструктуры жертвы, собирая информацию для будущих атак. При отслеживании используются методы туннелирования DNS для отслеживания доставки вредоносных электронных писем и отслеживания использования сетей доставки контента (CDN).
В одном из тематических исследований под названием "TrkCdn" показано, как злоумышленники используют туннелирование DNS для отслеживания взаимодействия жертв с содержимым электронной почты. Кампания была нацелена на 731 потенциальную жертву, использующую различные IP-адреса и домены для вредоносных действий. Преступники использовали уникальную стратегию использования поддоменов для кодирования данных жертв в DNS-запросах, что позволяло им эффективно отслеживать действия жертв.
Другая кампания, получившая название "SpamTracker", была направлена на отслеживание рассылки спама, используя тактику, аналогичную кампании TrkCdn. Злоумышленники использовали ссылки на электронную почту и веб-сайты для распространения спама и фишингового контента, предназначенного для образовательных учреждений.
Кроме того, было замечено, что злоумышленники используют туннелирование DNS для сканирования сети с целью выявления уязвимостей в целевых сетях. Подменяя IP-адреса и используя DNS-запросы, злоумышленники могут обнаруживать открытые распознаватели, что потенциально может привести к DNS-атакам, таким как отравление кэша или усиление.
Palo Alto Networks предлагает решения для снижения рисков, связанных с методами туннелирования DNS. Например, клиенты могут получить доступ к функциям обнаружения туннелирования DNS, встроенным в брандмауэр нового поколения Palo Alto Networks и инструменты Cortex XDR Analytics Engine. Расширенная фильтрация URL-адресов и услуги подписки на DNS Security обеспечивают защиту от выявленных вредоносных индикаторов, упомянутых в статье.
Предоставляя аналитическую информацию об угрозах членам Альянса по борьбе с киберугрозами (CTA), Palo Alto Networks стремится повысить уровень защиты от кибератак и пресекать вредоносные действия в киберпространстве. Осведомленность специалистов в области безопасности об этих новых вариантах использования туннелирования DNS имеет решающее значение для эффективной защиты своих сетей от возникающих угроз.
#ParsedReport #CompletenessHigh
13-05-2024
Kimsuky APT attack discovered using Facebook and MS management console
https://www-genians-co-kr.translate.goog/blog/threat_intelligence/facebook?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: High
Actors/Campaigns:
Kimsuky
Gorgon
Threats:
Reconshark
Spear-phishing_technique
Babyshark
Geo:
Japanese, Usa, Japan, Gyeonggi-do, German, Korea, India, American, Germany, Korean
ChatGPT TTPs:
T1566, T1102, T1547, T1204, T1071, T1560, T1027
IOCs:
File: 26
Domain: 6
IP: 6
Command: 1
Path: 1
Url: 4
Hash: 9
Soft:
Slack, task scheduler, WordPress, Microsoft OneDrive
Algorithms:
md5
Functions:
CreateObject, CreateTextFile
Win API:
gpath , bp, ( bpath ): E, GetObject, ExRuList
Languages:
php
13-05-2024
Kimsuky APT attack discovered using Facebook and MS management console
https://www-genians-co-kr.translate.goog/blog/threat_intelligence/facebook?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: High
Actors/Campaigns:
Kimsuky
Gorgon
Threats:
Reconshark
Spear-phishing_technique
Babyshark
Geo:
Japanese, Usa, Japan, Gyeonggi-do, German, Korea, India, American, Germany, Korean
ChatGPT TTPs:
do not use without manual checkT1566, T1102, T1547, T1204, T1071, T1560, T1027
IOCs:
File: 26
Domain: 6
IP: 6
Command: 1
Path: 1
Url: 4
Hash: 9
Soft:
Slack, task scheduler, WordPress, Microsoft OneDrive
Algorithms:
md5
Functions:
CreateObject, CreateTextFile
Win API:
gpath , bp, ( bpath ): E, GetObject, ExRuList
Languages:
php
www-genians-co-kr.translate.goog
페이스북과 MS관리콘솔을 활용한 Kimsuky APT 공격 발견
지니언스 시큐리티 센터는 Kimsuky APT 그룹이 새로운 공격 전략을 도입한 것을 발견했습니다.이번 APT 공격은 페이스북(Facebook) 서비스가 초기 침투에 활용됐습니다.